Der Synopsys-Bericht stellt fest, dass die Mehrheit der von bekannten Sicherheitslücken und Lizenzkonflikten geplagten Software im Zuge des Anstiegs der Open Source-Akzeptanz ansteigt

20171108_synopsys_coverityfeat

Die Ergebnisse zeigen, dass ein Drittel der geprüften Codebasen, die Apache Struts enthielten, auch die Sicherheitsanfälligkeit aufwies, die zur Verletzung von Equifax führte

Singapur, @mcgallen #microwireinfo, 15. Mai 2018 - Synopsys, Inc. (Nasdaq: SNPS) hat heute den Open Source-Bericht zur Open Source-Sicherheits- und Risikoanalyse (OSSRA) von Black Duck by Synopsys 2018 veröffentlicht, in dem die Ergebnisse der anonymisierten Daten von über 1,100 im Jahr 2017 geprüften kommerziellen Codebasen untersucht werden Zu den im Bericht vertretenen Branchen gehören die Märkte Automobilindustrie, Big Data, Cybersicherheit, Unternehmenssoftware, Finanzdienstleistungen, Gesundheitswesen, Internet der Dinge (IoT), Fertigung und mobile Apps.

Der Bericht hebt einen massiven Anstieg der Open Source-Akzeptanz hervor, wobei 96 Prozent der gescannten Anwendungen Open Source-Komponenten enthalten. Die Daten zeigen auch, dass die durchschnittliche Anzahl der pro Codebasis gefundenen Open Source-Komponenten (257) gegenüber dem Vorjahr um 75 Prozent gestiegen ist, wobei viele Anwendungen mehr Open Source als proprietären Code enthalten. Besorgniserregend ist, dass 78 Prozent der untersuchten Codebasen mindestens eine Open Source-Sicherheitsanfälligkeit enthielten, mit durchschnittlich 64 Sicherheitsanfälligkeiten pro Codebasis. Über 54 Prozent der in geprüften Codebasen gefundenen Schwachstellen gelten als Schwachstellen mit hohem Risiko. Siebzehn Prozent der Codebasen enthielten eine weit verbreitete Sicherheitsanfälligkeit wie Heartbleed, Logjam, Freak, Drown oder Poodle.

„Da moderne Software und Infrastruktur stark von Open Source-Technologien abhängen, ist eine klare Sicht auf die verwendeten Komponenten ein wesentlicher Bestandteil der Unternehmensführung“, sagte Tim Mackey, technischer Evangelist bei Black Duck by Synopsys. "Der Bericht zeigt deutlich, dass Unternehmen angesichts der zunehmenden Nutzung von Open Source sicherstellen müssen, dass sie über die Tools verfügen, um Schwachstellen in Open Source-Komponenten zu erkennen und die für die Nutzung von Open Source erforderliche Lizenzkonformität zu verwalten."

Anfällige Open-Source-Komponenten wurden in Anwendungen in jeder Branche gefunden. Die Branche Internet- und Software-Infrastruktur hatte mit 67 Prozent den höchsten Anteil an Anwendungen mit Open-Source-Schwachstellen mit hohem Risiko. Ironischerweise wurde festgestellt, dass 41 Prozent der Anwendungen in der Cyber-Sicherheitsbranche Open-Source-Schwachstellen mit hohem Risiko aufweisen, wodurch diese Branche dem vierthöchsten Risiko ausgesetzt ist.

Darüber hinaus enthielten 33 Prozent der geprüften Codebasen, die Apache Struts enthielten, auch die Sicherheitsanfälligkeit, die zum Equifax-Verstoß führte. Der Bericht zeigt deutlich, dass Unternehmen eine wachsende Anzahl von Sicherheitslücken in ihren Codebasen ansammeln lassen. Im Durchschnitt wurden bei den Audits festgestellte Schwachstellen vor fast sechs Jahren aufgedeckt.

"Als Equifax durch die Apache Struts-Sicherheitsanfälligkeit verletzt wurde, wurde die Notwendigkeit eines Open Source-Sicherheitsmanagements zu einer Neuigkeit auf der Titelseite", sagte Evan Klein, der für den OSSRA-Bericht verantwortliche Produktmarketing-Manager von Black Duck. "Obwohl es im März 2017 veröffentlicht wurde, haben viele Organisationen ihre Anwendungen offenbar immer noch nicht auf die Sicherheitsanfälligkeit Struts überprüft."

Basierend auf den Ergebnissen enthielten 74 Prozent der geprüften Codebasen auch Komponenten mit Lizenzkonflikten, von denen die häufigsten GPL-Lizenzverletzungen waren. Der Prozentsatz der Anwendungen mit Lizenzkonflikten innerhalb von Branchen reichte vom relativen Tief der Einzelhandels- und E-Commerce-Branche von 61 Prozent bis zum Hoch der Telekommunikations- und Wireless-Branche, in der 100 Prozent des gescannten Codes eine Form von Open-Source-Lizenzkonflikten aufwiesen.

Besuchen Sie zum Herunterladen des OSSRA-Berichts https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

Informationen zur Synopsys Software Integrity Platform
Die Synopsys Software Integrity Group unterstützt Unternehmen bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu maximieren. Erfahren Sie mehr unter www.synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als das 15. größte Softwareunternehmen der Welt hat Synopsys eine lange Geschichte als weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und baut seine Führungsposition bei Softwaresicherheits- und Qualitätslösungen aus. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, qualitativ hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###